为什么要做网络安全？酷，好找女朋友！有意义，能帮助人！还能赚钱！

为什么不做网络安全？累！背锅侠！君不见2019年7月份还累死3人？！

工信部《关于促进网络安全产业发展的指导意见（征求意见稿）》一出来，未来5年推动网安行业2000亿产值，振奋人心，不少朋友问我，机会在哪里？都摩拳擦掌要进入这个行业，这里来帮大家分析下未来的格局。顺势而为，牛都能吹来飞起来；走错路了，入土也没有波澜。

我们可以，分开来类比一下。

先说消防器材，本质是合规行业，所有建筑物必须按照消防法规布设消防设施设备，设备必须符合消防标准并经过国家部门检验。这类产品有一个特点，就是必须买，但买回去了也几乎从来不使用。

过去20年，网络安全行业基本完全参照合规驱动，国家对政府、国资企业有网络安全建设要求，必须采购网络安全设备，必须接入网络指定地点。所以过去的网络安全企业做的大的都是做合规的，并且做硬件设备，符合公安部标准，有公安部网络安全产品品类资质，企业一但产品获得资质后，剩下的主要工作不是提升产品功能性能，因为99.99%时间产品都不真正使用，而是通过大规模销售降低平均单台成本，在各行各业招投标都是低价中标大环境下，甚至裁掉研究开发人员，只留下生产人员，以进一步降低成本。过去网络安全产业中国400亿产值70%基本都集中在这个方向。

未来随着《网络安全法》和等保2.0相关标准的要求，带来了两个大的变化：

医疗健康行业可以分三阶段：

A) 事前行业：保健、体检是一类，但很杂；很少有做大的，知名的也不多；

B) 事中行业：医院救治是一类，很多名气很大，主要看好的医生在哪里，其次是好的设备在哪里；

扁鹊每次别人快死了，找上门，他能救治，所以叫神医；

扁鹊每次别人送来感恩锦旗，扁鹊都摇摇头：我大哥才是真神医！

网络安全行业，过去有一部分属于医疗健康行业，可能占400亿市场的20%，在这个范畴，但存在一个很大的问题，如果把网络安全行业，过去的安全设备商比作医疗器材商，有网络安全问题需要求治的企业比作客户的话，以前的主要问题是医疗设备商和病人直接对接了！这导致病人花费了很多冤枉钱，购买了很多医疗器材，却几乎没有解决实际问题。

病人：我头痛。

病人：好的，40度，咋整，正常不？

病人上网学习2天：好像不正常，网络上说可能肺病。

病人：好的，但这个彩超照片表示什么意思呢？

病人上网一个月：好像不正常，有个阴影，但看不到细节。

病人：好的，果然有个黑洞洞的，莫非是结石？

以前没有按照医院模式构建网络安全产业，导致客户的学习成本巨高无比，很多大的企业不得不自己建立网络安全部门，高成本养专家，而且采购了大量贵重但无用设备。现在网络设备商没有客户懂网络安全，在客户那里也越来越没有话语权了。

未来网络安全产业会是专家牵头的医院模式，医院有几个特点：

1. 专家牵头，属于服务业

2. 设备成本客户们均摊，降低客户成本，降低整体社会成本

安保公司有一个特点，就是地方化，区域化，实时化，有问题必须快速就地响应。

中国过去网络安全产业，这块几乎是空白。过去绝大部分企业都没有数据资产，也没有安保需求，但未来企业的数据资产越来越多越来越重要。以国企央企为例，算100家，你就会发现，这是一个垂直行业，再看看区域，分布在主要30个省份地区，一有安全问题，要1小时必须到现场的话，就必须每个省会城市有自己的安全服务企业，这就是一个100家乘以30个区域的需求，这就潜在蕴含3000家网络安保商的空白领域，这还只计算了100家央企，没有算政府各部委，没算地方国资企业，没算教育、医疗等行业。

这些安保商，需要自带安保设备去客户驻场，这些设备和消防器材不同，必须天天用，而且要求价格便宜，未来一个个小设备，专用设备，性价比高的安防设备商业会是一个机会。

随着“一带一路”快速推进，中国会投入一万亿美元，带动的资金会更多，中国企业会纷纷走出去，这就需要有人能够保驾护航了，包括对业务安全、数据安全、网络安全的护航。

以前我以为镖行主要是靠武林高手，后来回忆了一下《笑傲江湖》。

林振南对林平之说：“你想，福威镖局的镖车行走十省，倘若每一趟都得跟人家厮杀较量，哪有这许多性命去拚？就算每一趟都打胜仗，常言道：杀敌一千，自伤八百，镖师若有伤亡，单是给家属抚恤金，所收的镖银便不够使，咱们的家当还有甚么剩的？所以嘛，咱们吃镖行饭的，第一须得人头熟，手面宽，这‘交情’二字，倒比真刀真枪的功夫还要紧些。”

这才领会到干镖行主要是与人为善，也就是说，如果海外有关系，能够熟悉当地市场，那么这就是机会，毕竟国内安全人才还是有一大把的，机会在，人才就会来。

上面几个行业类比，都有一个共同点，就是过去的行业缺乏关键几点：

1）高对抗

2）快响应

主要是因为以前安全责任没有负责人，丢失数据对国家安全影响大、对个人客户隐私影响大，但对企业自己影响不大，某互联网企业丢失了客户1.2亿条数据也没见被惩罚。

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正(例如不落实等级保护x级），致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法有下列情形之一的，对其直接负责的主管人员（CSO、CEO、法人）和其他直接责任人员处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

(1)致使违法信息大量传播的;

(2)致使用户信息泄露，造成严重后果的;

(3)致使刑事案件证据灭失，情节严重的;

对于刑法相关规定中“情节严重”的认定标准，此次司法解释明确规定了十种情形，包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供前两项规定以外的公民个人信息五千条以上的;违法所得五千元以上的等。

司法解释同时规定，非法获取、出售或者提供相关类别公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的，或具有“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”等情形的，属于“情节特别严重”。

也就是说，凡是互联网企业，或者有用户信息的企业，都必须真正去落实网络安全了，否则触犯刑法，后果很严重，这就让安全咨询、安全培训、安全测评、互联网企业安全集成公司有了一片空白领域和机会！

技术变革会颠覆以前的产业，甚至整个产业链。未来技术变革至少有：

1）5G

2）IOT物联网

3）IPv6

4）AI人工智能

5）大数据

单说数据安全，往未来20年看，应该就是200亿以上的市场；IoT安全就更大了，往未来10年20年看，估计都是1000亿市场。做技术布局，有个前提，就是要耐得住寂寞，以前有个大佬给我说的，面对大势，人傻钱多的人能赢，能坚持并活到那一天。如果你选这个方向，先祝福你！

有人说了，你吧啦吧啦吧啦这么多，怎么没说个人安全市场，这是更大的蓝海呀！

这就说来话长了，首先过去证明个人用户，没有太多安全需求，某公司十多年前就已经给上亿个人用户终端派驻了数字保安，也收不到钱，不得不让保安在用户门墙上做广告，给用户推荐理财贷款、推荐游戏等才做大，至今也没人为他的保安买单。

未来是否有人会为个人保安买单？或许有，但是，但是，已经有一个保安在终端里头了，俗话说一端不容二虎，如果你要去驻扎，我就只能为你烧香了，提前送上一首“凉凉”。